Сегодня мы поговорим об управлении рисками. Что такое риск - я рассказывал вот в этой статье, а сегодня мы посмотрим, как этим безобразием в Организации можно управлять.
Статья будет ОЧЕНЬ БОЛЬШОЙ! Я постараюсь изложить всю практику здесь, не разбивая статью на части, уважая своих читателей, не гоняясь за монетизацией блога.
Сразу оговорюсь, я не являюсь узким специалистом в данном вопросе. Но, поскольку приходится заниматься организацией системы управления рисками, то я расскажу, как я лично вижу начало этого процесса в Организации, где толком этого никогда не было. Поэтому помидорами кидаться можно и даже нужно, только аргументированно. Мне хотелось бы услышать про Ваш опыт в данном вопросе в комментариях.
Вообще-то все нижесказанное довольно детально описано в ГОСТ Р ИСО/МЭК 31010-2011. Но я, кажется, созрел, чтобы пояснить требования стандартов на практических примерах. Надеюсь, Вам это будет полезно и понятно.
0. Вступление
Итак, как я вижу управление рисками? Попробую изобразить:
Как видно из правой части Рисунка 1 - это все та же не умирающая классика - цикл PDCA. О нем я вскользь рассказывал вот в этой статье.
Эта схема намеренно несколько избыточна. В ней, например, процедура ранжирования рисков декомпозирована, также декомпозировано все, что относится к контрольным процедурам.
Обычная схема, которую вы можете найти в сети выглядит как-то так:
Тут все зависит от того, кому как понятнее. Обе схемы не противоречат друг другу. Я просто стараюсь картинки нагляднее сделать ))
Но, по моему мнению, прежде чем переходить непосредственно к реализации процесса управления рисками, нужно сделать минимально необходимую подготовку, а именно:
- определиться со списком процессов, для которых мы на первом этапе попробуем взять их риски под управление;
- собрать экспертные группы по данным процессам.
1. Подготовка
1.1 Процессы
Казалось бы, если мы уже перешли к управлению рисками, то уж с перечнем процессов проблемы не будет: они у нас давно прописаны в руководстве по качеству! Чего с ними определяться? Берем все и работаем!
Так-то так, да не совсем.
Дело в том, что мы говорим о начальном этапе построения системы управления рисками. И тут, запланировав сразу все процессы Организации к анализу, мы и сами не разберемся, как это делать, и проработка такая будет крайне поверхностной.
Поэтому, мне кажется, что из всех процессов Организации нужно выбрать 2-3 наиболее проблематичных, по которым вы точно знаете о существовании неких проблем, которые мешают данным процессам работать. И вот на них потренироваться.
Дело в том, что риски наиболее проблемных процессов будут наиболее видны, решения для воздействия на эти риски - более очевидными, а значит, мы с Вами сумеем "наметать глаз", чтобы потом уже разглядывать более незаметные риски в более стабильных процессах.
Ну, мне так кажется. Я, по крайней мере, имею право добросовестно заблуждаться )))
Почему не нужно на первых этапах работы браться за все, Вы поймете дальше, ведь я просто разберу лишь один процесс...
И один его риск!
1.2 Экспертные группы
Теперь об экспертных группах.
Вспомним про Квадрат Декарта из статьи о рисках:
Как Вы понимаете, глядя на эту картинку, идентификация и оценка рисков - это очень сложно формализуемая штука. То есть, она почти не поддается каким-либо строгим алгоритмам. Поэтому она проводится экспертным методом.
Если очень просто - то собирается уважаемый и компетентный коллектив и начинает мозговой штурм (или другую методику выработки решений, коих - легион). И вот тут важно правильно подойти к комплектованию групп экспертов.
Понятно, что в их состав должны входить те, кто управляет рассматриваемым процессом. Важно не "переборщить" с высотой уровня управленцев в составах экспертных групп.
Да, топ-менеджер может быть и умнее уборщика, но он вполне может быть зациклен на стратегических задачах, у него может быть мало свободного времени, да и о риске срыва сроков уборки офиса по причине поломки швабры он может просто не захотеть говорить ))
А, вполне возможно, проблема именно в этом. Ну кто докажет обратное?
Поэтому в экспертных группах, по моему мнению, должны быть:
- управленцы среднего звена;
- 1-2 человека из более высоких миров;
- обязательно, несколько человек, не связанных напрямую с рассматриваемым процессом.
Скорее всего, именно они смогут посмотреть на процесс с такой неожиданной стороны, про которую руководители данного процесса даже не задумывались никогда.
Общая численность экспертной группы не должна, по моему мнению, превышать 10-12 человек, но и не должна быть менее 8 человек. Это для начала.
В общем, формирование групп экспертов - это сам по себе тот еще квест, задача творческая, но от качества подготовки напрямую зависит итог всей работы.
ВАЖНО: Состав экспертной группы не должен быть избыточным, но должен быть достаточным для целей исследования. Экспертная группа поименно должна быть назначена руководящим документом Организации.
Ответственность за формирование, согласование и организацию утверждения руководящих документов - на владельце процесса управления рисками.
2. Управление рисками
2.1 Идентификация рисков
Итак, настало время идентифицировать риски. Давайте для примера возьмем какой-нибудь процесс, который мы уже тут проходили, чтобы была некая прослеживаемость статей. Например, возьмем процесс проведения входного контроля продукции, о котором я написал вот этот факультатив.
Наша задача на данном этапе - выявить, по возможности, как можно больше рисков, которые могут реализоваться в рассматриваемом процессе.
ГЛАВНОЕ: Рассматриваемые риски должны относиться только к данному процессу. Не нужно искать далеко идущие последствия! Например, рассматривая риски процесса входного контроля материалов для строительства дома, не нужно рассматривать риск гибели людей из-за потенциального разрушения этого дома.
Так вы уйдете от конкретики к расплывчатому и неопределенному непонятно чему. И смысл управления рисками конкретного процесса будет потерян.
Попробуем идентифицировать несколько рисков, которые могут иметь место при входном контроле материалов или изделий:
- допуск несоответствующей продукции в производство;
- допуск контрафактной продукции в производство;
- несвоевременный допуск соответствующей продукции в производство;
- допуск продукции в производство без проведения входного контроля;
- и т.д.
Вы можете мне сказать, что первый и второй пункт - это об одном и том же ))
Контрафакт - это подмена производителя продукции/товарного знака, при этом сама по себе продукция может быть просто замечательной.
Это имеет смысл запомнить, чтобы не ставить в будущем знак равенства между контрафактной и некондиционной/несоответствующей продукцией.
Понятно, что экспертная группа сможет идентифицировать намного больше рисков, но для примера и этого уже много. Поэтому допустим, что данный этап выполнен и все риски, что мы смогли придумать, записаны на салфетке))
2.2 Ранжирование рисков
Как видно из Рисунка 1 - ранжированию рисков обычно предстоит их оценка, которая бывает:
- качественной (стоимостной);
- количественной (вероятностной).
2.2.1 Качественная (стоимостная) оценка
Качественная оценка каждого риска должна распределить риски по показателям, которые отражают, насколько сильно реализация данного риска может ударить по Организации. Или, например, к какой тяжести последствий может привести.
Поэтому она иногда также называется стоимостной. Любой удар по Организации в итоге приводит к потерям денег. А степень тяжести потенциальных последствий влияет на величину этих потерь.
Можно предварительно использовать определенную шкалу потенциальной критичности рисков по данному показателю, что будет показано ниже.
Например, Мы же понимаем, что допуск некачественной продукции в производство критичнее некоторых временнЫх проволочек на входном контроле?
Хотя, тоже все от Вашей Организации зависит. Вдруг у вас срочный заказ на ширпотреб, срок использования которого - два часа? Тогда сроки проведения входного контроля важнее качества материала.
Все индивидуально.
Но мы, например, на секунду, подводные лодки ремонтируем - нам такое не подойдет.
Для начала организации управления рисками, я рекомендую использовать для экспертной группы именно сравнительный анализ при качественной оценке рисков.
Так будет проще, пусть каждый эксперт просто расставит все идентифицированные риски по шкале важности, например, от 1 до 5, как он считает.
2.2.2 Количественная (вероятностная) оценка
А вот количественная (вероятностная) оценка рисков уже может вполне себе базироваться на каких-то статистических данных. Самое простое - это практический учет частоты реализации каждого риска.
Например, по опыту работы, некачественный материал уходил в производство всего два раза за прошлый год, а вот задержки передачи материалов в цех случаются ежедневно!
Здесь очень помогли бы статистические данные. Мысли экспертов в категориях "часто/редко" являются субъективными, и, если есть реальные цифры, то они отрезвляют! И еще как...
Но что делать, если статистики нет? Дайте экспертам ту же шкалу от 1 до 5 и пусть они уже по своему опыту оценят, насколько часто каждый из идентифицированных рисков сработал!
Ну сложно что ли?
2.2.3 Документирование
Для документирования процесса сделайте опросные листы для экспертной группы. Типа таких:
И пусть эксперты поставят галочки по каждому фактору идентифицированного ими же ранее риска, как на Рисунке 4.
Теперь у нас есть экспертная оценка каждого фактора каждого риска! Пора переходить к их ранжированию по совокупности показателей.
2.2.4 Ранжирование рисков
Здесь нужно понимать цель ранжирования рисков. В итоге мы должны понимать, с чем бороться в первую очередь, а что может и подождать.
Организация просто физически не может одновременно бороться со всеми рисками, у нее банально не хватит на это ресурсов. Кроме того, даже уничтожение одного риска приводит к риску возникновения другого риска, о котором мы ранее даже не подозревали! Вот такой парадокс )))
Итак, мы провели экспертную оценку рисков. Что нам дальше делать с этими опросными листами?
Все просто, давайте усредним экспертные показатели по каждому риску.
Делаем простую табличку в Excel:
Как Вы можете догадаться, на рисунке 4 отображен опросный лист седьмого эксперта ))
А вот теперь нам нужно по усредненным оценкам ранжировать риски по степени критичности для Организации.
Честно, я вроде как придумал уникальную методику ранжирования рисков по принципу "часов", т.е. один фактор - одна стрелка, сектор между ними - критичность риска. Однако, нарисовав это и поигравшись с тем, что получилось, сам зашел в тупик. Получилась очень гибкая система, но ее описание требует дополнительного осмысления. Впрочем, как и любая система, дающая больше степеней свободы, нежели классика..
Поэтому, поскольку я и так к написанию этой статьи в примерах шел долго, далее будет описан классический подход.
А к моему методу, если я сам в нем разберусь, мы вернемся позже )))
Впрочем, я готов поделиться идеей. Если есть логики и математики, которые бы ее развили - готов сотрудничать.
Итак, для примера у нас есть оценка риска:
- по степени влияния - 2,9 балла. Округлим до 3;
- по частоте реализации - 2,2 балла. Округляем до 2.
Округление чисел производится по простым правилам школьной математики. Все что до 0,5 после запятой не включительно, округляем до низшего целого, все, что после запятой имеет 0,5 и более - до высшего целого.
2.2.5 Определение критичности рисков
Дальше - классика. Смотрим на матрицу критичности рисков для Вашей организации. Обычно она выглядит вот так:
Цвета, кодирование критичности рисков для каждой Организации - это снова результат работы экспертной группы, которая и определит, какое сочетание параметров риска для Организации критично, а какое нет.
Наш риск, как мы видим из примерной матрицы, относится к значительным. Но не является критическим.
2.2.6 Выход процедуры ранжирования рисков
По такой же методике ранжируются все выявленные риски процесса.
На выходе процедуры ранжирования рисков Вы должны получить таблицу, подобную приведенной ниже (риски с высокой степенью критичности идут первыми, остальные - по убыванию):
Ну вот и результат нашей работы - теперь понятно, с чем бороться в первую очередь!
Пора переходить к разработке контрольных процедур?
Я считаю, что нет. Посмотрите на Рисунок 1. Выявление факторов рисков начинается только тут. Это мое мнение.
Только так правильно распределять силы Организации на этапе внедрения системы управления рисками.
Хотя, если у Вас в Организации есть целый отдел по рискам, то они могут начать этим заниматься уже на этапе идентификации рисков.
Я считаю, что прорабатывать факторы следует только для тех рисков, которые Организация сочла для себя наиболее критическими.
Потому что, как мы увидим далее, часть текущих рисков имеют невеликую роль в обще хороводе.
Какой смысл тратить на них сегодня время и ресурсы? Никакого. Вот поэтому, на этапе становления системы управления рисками, выявление факторов рисков мы с Вами начнем именно сейчас.
А у кого заранее созданы отделы и есть штаты - пусть занимаются превентивно. Это очень хорошо! Но мы исходим из имеющихся ресурсов всегда.
2.3 Выявление факторов критических рисков
Итак, у нас выявлено два критических риска. Чтобы перейти на шаг дальше, мы должны проанализировать по возможности все факторы, которые могли бы привести к реализации каждого риска. Это снова экспертное совещание, результаты которого можно будет свести в таблицу. Отбрасываем некритичные риски из Рисунка 7, выкидываем столбец со степенью критичности, и добавляем столбец - факторы риска:
Это пример! Факторов для каждого риска может быть очень много! Но принцип должен быть понятен.
А вот теперь - самое время перейти к разработке контрольных процедур. По каждому выявленному фактору!
3. Контрольные процедуры
3.1 Разработка контрольных процедур
Итак, у нас есть ранжированные риски по конкретному процессу, выявленные факторы критических рисков. И нам теперь нужно с этим что-то делать.
Выше было сказано, что критические риски нужно купировать, а на что-то можно сейчас закрыть глаза, все равно на работу по всем рискам у нас не будет ни времени, ни денег.
В крупных конторах и в их стратегиях риск-менеджмента, в учебниках, Вы можете встретить несколько методов реагирования на потенциальные риски:
- принятие риска;
- увеличение риска для использования благоприятной возможности;
- ограничение (минимизация) риска;
- перенос (передача) риска;
- отказ (уклонение) от риска.
Но, зачастую, это все банальный карго-культ, и мы сейчас не будем о высоких материях. Они в бумагах хотят чтобы было как у Больших Дядек, а подробностей нет. Обычный итог такого слепого подхода - упадок и разруха.
У нас же цель иная - понять, что и как делать.
Смотрите. Я попробую набросать таблицу.
Вот из этого давайте и исходить. Учебники и высокие стратегии пишут зачастую те, от кого мало зависит Ваше выживание и наличие еды у Ваших детей.
Итак, в разделе 2.3 у нас есть первостепенные риски и их факторы. Давайте оттуда возьмем один риск для примера и попробуем набросать контрольные процедуры для него. Остальное пойдет по аналогии:
Ну как-то так...
У Вас еще не возникло отвращение к управлению рисками? Ничего, я же просто рассказываю метод для реализации требований п. 6.1 ГОСТ Р ИСО 9001-2015, и еще не сильно лезу в ГОСТ РВ 0015-002-2020 ))))))
Поехали дальше )))
3.2 Внедрение контрольных процедур
3.2.1 Инициатива
А вот тут начинается самое сложное! Вы думали, раньше тяжело было? Неееет! Сейчас будет.
Хотя, этот раздел самым коротким будет. Но это не точно ))
Все, что Вы разработали - нужно внедрить. Точка.
Как? Каким образом? Что нужно для этого сделать? У меня есть ответ: Психология, только так. Пока руководитель Организации не поймет и не проймется обычной психологией, пока он останется цеховиком/юристом/ФСБшником, кем угодно, кроме системного управленца, ничего не выйдет. Они все работают от ситуации. Что такое система - понятия не имеют, если это не система, которая платит бабки. Главное чтобы система была издалека.
Система управления неподвластна тем, кто привык рулить в приказном порядке. Они сами вне системы, и на остальных ее не распространяют, не понимая, что убивают "ручным управлением" действующую, живую систему управления. Не понимают системное управление, в котором даже директор планирует время, а остальные не ждут по полтора часа в коридоре в ожидании приема, назначенного на конкретное время.
Управленческий кретинизм - попытка влезть директора предприятия в вопрос вбивания гвоздей в гроб. Почетно, а смысла хоть толика есть? Тонны совещаний, когда нужного человека не поймать. И визы "Доложить" без срока давности. А если я не доложу? А если забью просто? Абзацем выше - про планирование. Как поп свое время планирует - таков и приход. И мы что-то там про эффективность говорим?
Сложно внедрять то, что реально нужно сегодня предприятиям. Я отдаю себе отчет, на меня обидятся и отчислят )))
Один только совет. Сделайте работу, описанную выше и покажите ее напрямую Руководителю Организации. Если он не поймет - настаивайте насколько сил хватит. Делайте!
Я много не могу рассказать. Но на одном предприятии производственный актив потеряли из-за недооценки критических рисков, которые доносили до Руководителей. Значит плохо доносили. И в том, отчасти, моя вина есть. Доказать не смог. Полномочий не имел.
Тут идет все в работу. Третирование руководителей, если они слушать не хотят Вас. Докладные, аналитика, пикеты их кабинетов, да все что угодно.
Я открою секрет Полишинеля:
Чем выше руководитель, тем он либо четко считает риски, либо забивает на них! Первая часть выбора касается себя любимого, вторая - вверенной ему Организации.
Да, из этого правила есть исключения. Но, к сожалению, не так часто они встречаются... Ваши здравые мысли никто слушать не захочет. Потому что есть два мнения. И Ваше - неправильное.
В общем, проведя такую работу - добивайтесь реализации ее результатов! Как можете.
Вам, скорее всего, со своей инициативой придется пройти следующие стадии.
3.2.2 Выгорание
Оно наступит. Ни одно здравое решение еще не принималось в современной России спокойно и ради успеха Организации. Откаты? Условия? Какие бы Вы не обосновывали выгоды...
Всем ПОХУЙ. Это нужно пережить. Мало кому удается. Я пишу - удалось. Да и то точечно. Я еще в следующем потоке нахожусь!
3.2.3 Злость
- Так. Вы тут офигели все. Где директор? А, у нас общие совещания теперь? Я молчать не буду!
[не молчу]
- Стоп! А почему закончилось совещание???
[изменяется мотивация и сознание]
3.2.4 Добивание
Если нужно, иду уже напрямую к директору.
[не молчу]
3.2.5 Результат
Имея на руках подписанное решение, идешь до канцелярии, рассылка, получение по документообороту документа. И Катарсис.
Ты сделал то, что должен был.
И то не всегда работает. Ну не любит система тех, кто подать совет может или независимо себя ведет! Мы полетим в пропасть, лишь бы тебя не слушать!
Откуда столько сопротивления системы? Зачем?
Главное - директор вряд ли понял, что я его властью сделал то, что надо для Организации. А он понятия не имел, что сделал сам.. Ну и ладно.
А то, что управлять Организацией стратегически нужно, а не стелы менять и униформу - ну никак не доходит. И потенциалом отдела, который создан для ОБЕСПЕЧЕНИЯ СИСТЕМЫ УПРАВЛЕНИЯ, не пользуется. Умные люди создавали, между прочим. Для умных людей. Не востребовано.
Ну очередной временщик, которому системное управление не снилось даже.
4. Мониторинг эффективности принятых мер
Помните, как говорили Мудрые? Tempora mutantur et nos mutamur in illis, что в переводе с вульгарной, то бишь, простонародной латыни, звучит как "Времена меняются, и мы меняемся вместе с ними".
Сегодняшние меры, направленные против реализации рисков, даже будучи реализованными, могут оказаться неэффективными. А могут быть настолько эффективными, что старые риски уйдут, но появятся новые.
Более тонкие риски могут выскочить, поймать их сложнее. А может быть, и иначе, такие риски выскочат, что туши свет и гранату кидай..
Риски - это неопределенности, никто не знает что ждать завтра. И это нормальность сегодняшнего дня.
Поэтому мониторинг эффективности принятых мер - это как измерение температуры больного - есть тенденция к повышению (или снижению до комнатной) - нужны превентивные меры или переоценка его состояния.
Так и тут.
Управление рисками - это процесс, который можно начать, но нельзя закончить.
Результат мониторинга - периодическая новая идентификация рисков, и поехали снова по кругу. Какие-то риски потеряли актуальность, что-то стало более актуальным. И это в рамках всего лишь одного процесса!
Например, мы победили риск недопоставки продукции, но вдруг обрушились сроки поставки.. Один риск сменился другим.
И снова должно быть реагирование. А как? Неуправляемо, по мановению левой задней пятки ответственного? Или системно, когда система управления к этому потенциально готова?
Конечно, управление рисками - очень сложная штука, и даже в этой статье нет и доли нюансов.
Но только так Организация может выйти на Управляемый путь развития.
Первый постскриптум.
Оцените объем работы службы по управлению рисками. Мы же шли от одного примера ко второму, все время отщипывая от предыдущего кусочек.
Наивно считать, что те, кто сокращает службы внутреннего аудита Организаций, понимают объемы того, что называется управлением рисками.
Скорее всего они видят функции этих служб в минимальной оценке рисков их решений, ну чтобы прокуроры не наехали.... Кратковременное планирование, а после нас хоть трава не расти...
Редко кто видит управление рисками как инструмент стратегического управления Организацией.
Впрочем, какократию, которую описал Борис Раушенбах, никто и не отменял еще. Грустно это все.
Борис Викторович Раушенбах, если что, автор теории, математики и физики полетов, управления и стыковки космических аппаратов на орбите. Работал с С. П. Королевым.
Вот уж где управление рисками было определено тройными интегралами! Но сегодня его мысли не нужны, жаль. И даже самая простая теория управления рисками, которая изложена выше - тоже.
Гордимся полетом Гагарина, а мысли тех, кто обеспечивал этот полет и не знаем.
Смотрите:
Ну хоть тут памятник выдающемуся ученому поставлю. Мой блог - мои правила.
Второй постскриптум.
Я надеюсь, что это большая статья была Вам полезна.
Для осознания своим умом принципов, изложенных в ней мне пришлось много копий поломать, много с кем поругаться, и набить много шишек себе. Чтобы поделиться этим с Вами я перерисовывал Рисунок 1 восемь раз ))) Это просто пример..
Если подобные большие статьи Вам интересны - напишите об этом.
Как обычно, комментарии открыты для обсуждения и дополнений.
Напомню, что Факультативы я пишу именно по результатам обсуждения определенных тем с Читателями ))
